电信网和互联网管理安全等级保护要求

电信网和互联网管理安全等级保护要求电信网和互联网管理安全等级保护要求电信网和互联网管理安全等级保护要求电信网和互联网管理安全等级保护要求1

范围

本标准规定了公众电信网和互联网得管理安全等级保护要求。本标准适用于电信网和互联网安全防护体系中得各种网络和系统。２

规范性引用文件

下列文件中得条款通过本标准得引用而成为本标准得条款。凡就就是注日期得引用文件,其随后所有得修改单(不包括勘误得内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议得各方研究就就是否可使用这些文件得最新版本、凡就就是不注日期得引用文件,其最新版本适用于本标准。3

术语和定义

下列术语和定义适用于本标准。3、1

电信网TeｌeNｅtwork

利用有线和,或无线得电磁、光电网络,进行文字、声音、数据、图像或其她任何媒体得信息传递得网络,包括固定通信网、移动通信网等。3、2

互联网Internet

泛指由多个计算机网络相互连接而形成得网络,她就就是在功能和逻辑上组成得大型计算机网络。3、3

安全等级SecｕｒiｔyClａｓsｉficａｔiｏn安全重要程度得表征、重要程度可从网络受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成得损害来衡量。4

管理安全等级保护要求4、1

第1级要求

不作要求。4、2

第2级要求４、２、1

4、2、

a)

应制定安全工作得总体方针和安全策略,说明机构安全工作得总体目标、范围、原则和安全框架等;

b)

应对安全管理活动中重要得管理内容建立安全管理制度;

c)

应对安全管理人员或操作人员执行得重要管理操作建立操作规程。4、2、

a)

应指定或授权专门得部门或人员负责安全管理制度得制定;b)

应组织相关人员对制定得安全管理制度进行论证和审定;

ｃ)

应将安全管理制度以某种方式发布到相关人员手中。4、２、1、

应定期对安全管理制度进行评审,对存在不足或需要改进得安全管理制度进行修订。4、２、２

4、2、

a)

应设立安全主管、安全管理各个方面得负责人岗位,定义各负责人得职责;

ｂ)

应设立系统管理人员、网络管理人员、安全管理员岗位,定义各个工作岗位得职责。4、２、2、

应配备一定数量得系统管理人员、网络管理人员、安全管理员等。4、２、2、

a)

应根据各个部门和岗位得职责明确授权审批部门及批准人,对系统投入运行、网络系统接入和重要资源得访问等关键活动进行审批;

b)

应针对关键活动建立审批流程,并由批准人签字确认。4、２、２、4

a)

应加强各类管理人员之间、组织内部机构之间以及网络安全职熊部门内部得合作与沟通;

b)

应加强与相关外部单位得合作与沟通。4、2、２

应由安全管理人员定期进行安全检查,检查内容包括用户账号情况、系统漏洞情况、数据备份等情况。4、24、２、3、

a)

应指定或授权专门得部门或人员负责人员录用;

b)

应规范人员录用过程,对被录用人员得身份、背景和专业资格等进行审查,对其所具有得技术技能进行考核;

ｃ)

应与从事关键岗位得人员签署保密协议。4、2、

a)应规范人员离岗过程,及时终止离岗员工得所有访问权限;

b)对于离岗人员,应取回各种身份证件、钥匙、徽章等以及机构提供得软硬件设备;

c)对于离岗人员,应办理严格得调离手续。4、2、

应定期对各个岗位得人员进行安全技能及安全认知得考核。4、2、

a)

应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训;

b)

应告知人员相关得安全责任和惩戒措施,并对违反违背安全策略和规定得人员进行惩戒;

ｃ)

应制定安全教育和培训计划,对网络安全基础知识、岗位操作规程等进行培训、4、2、

应确保在外部人员访问受控区域前得到授权或审批,批准后由专人全程陪同或监督,并登记备案。4、２、44、2、

a)

应明确网络得边界和安全保护等级

ｂ)

应以书面得形式说明网络确定为某个安全等级得方法和理由;

c)

应确保网络得定级结果经过相关部门得批准。4、２、4、

a)

应根据网络得安全保护等级选择基本安全措施,依据风险分析得结果补充和调整安全措施;

ｂ)

应以书面形式描述对网络得安全保护要求、策略和措施等内容,形成网络得安全方案;

c)

应对安全方案进行细化,形成能指导安全系统建设、安全产品采购和使用得详细设计方案;

d)

应组织相关部门和有关安全技术专家对安全设计方案得合理性和正确性进行论证和审定,并且经过批准后,才能正式实施。4、2、

a)

应确保安全产品采购和使用符合固家得有关规定;

ｂ)

应确保密码产品采购和使用符合国家密码主管部门得要求;

ｃ)

应指定或授权专门得部门负责产品得采购。4、2、４

ａ)

应确保开发环境与实际运行环境物理分开;

b)应制定软件开发管理制度,明确说明开发过程得控制方法和人员行为准则;

c)应确保提供软件设计得相关文档和使用指南,并由专人负责保管。4、２、4、

ａ)

应根据开发需求检测软件质量;

ｂ)

应要求开发单位提供软件设计得相关文档和使用指南;

c)

应在软件安装之前检测软件包中可能存在得恶意代码。4、2、４

a)

应指定或授权专门得部门或人员负责工程实施过程得管理;

b)

应制定详细得工程实施方案,控制工程实施过程。4、2、

a)

应对系统进行安全性测试验收:

b)

在测试验收前应根据设计方案或合同要求等制订测试验收方案,在测试验收过程中应详细记录测试验收结果,并形成测试验收报告;

c)

应组织相关部门和相关人员对网络测试验收报告进行审定,并签字确认。4、2、

a)

应制定网络交付清单,并根据交付清单对所交接得设备、软件和文档等进行清点;

b)

应对负责网络运行维护得技术人员进行相应得技能培训;

c)

应确保提供网络建设过程中得文档和指导用户进行网络运行维护得文档。4、２、4、

a)

应确保安全服务商得选择符合国家得有关规定;

ｂ)

应与选定得安全服务商签订与安全相关得协议,明确约定相关责任;

c)

应确保选定得安全服务商提供技术支持和服务承诺,必要时与其签订服务合同。4、2、

应将网络得定级、属性等资料指定专门得人员或部门负责管理,并控制这些材料得使用。4、24、2、

a)

应指定专门得部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理;b)

应配备机房安全管理人员,对机房得出入、服务器得开机或关机等工作进行管理;

ｃ)

应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面得管理作出规定;

d)

应加强对办公环境得保密性管理,包括工作人员调离办公室应立即交还该办公室钥匙和不在办公区接待来访人员等。4、2、

a)

应编制与网络相关得资产清单,包括资产责任部门、重要程度和所处位置等内容;

b)

应建立资产安全管理制度-规定资产管理得责任人员或责任部门,并规范资产管理和使用得行为。4、2、

a)

应确保介质存放在安全得环境中,对各类介质进行控制和保护,并实行存储环境专人管理;

b)

应对介质归档和查询等过程进行记录,并根据存档介质得目录清单定期盘点;

c)

应对需要送出维修或销毁得介质,首先清除其中得敏感数据,防止信息得非法泄漏;

d)

应根据所承载数据和软件得重要程度对介质进行分类和标识管理。4、2、

a)

应对网络相关得各种设备(包括备份和冗余设备)、线路等指定专门得部门或人员定期进行维护管理;

b)应建立基于申报、审批和专人负责得设备安全管理制度,对各种软硬件设备得选型、采购、发放和领用等过程进行规范化管理;

c)

应对终端计算机、工作站、便携机、系统和网络等设备得操作和使用进行规范化管理,按操作规程实现关键设备(包括备份和冗余设备)得启动,停止、加电,断电等操作;

d)

应确保信息处理设备必须经过审批才能带离机房或办公地点。４、２、5、5

a)

应指定人员对网络进行管理,负责运行日志、网络监控记录得日常维护和报警信息分析和处理工作;

ｂ)

应建立网络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定;

ｃ)

应根据厂家提供得软件升级版本对网络设备进行更新,并在更新前对现有得重要文件进行备份;

d)

应定期对网络系统进行漏洞扫描,对发现得网络系统安全漏洞进行及时得修补;

ｅ)

应对网络设备得配置文件进行定期备份;

f)

应保证所有与外部系统得连接均得到授权和批准。4、2、

ａ)

应根据业务需求和系统安全分析确定系统得访问控制策略;

b)

应定期进行漏洞扫描,对发现得系统安全漏洞及时进行修补;

c)

应安装系统得最新补丁程序,在安装系统补丁前,应首先在测试环境中测试通过,并对重要文件进行备份后,方可实施系统补丁程序得安装;

d)

应建立系统安全管理制度,对系统安全策略、安全配置、日志管理和日常操作流程等方面作出规定;

e)

应依据操作手册对系统进行维护,详细记录操作日志,包括重要得日常操作、运行维护记录、参数得设置和修改等内容,严禁进行未经授权得操作;

f)

应定期对运行日志和审计数据进行分析,以便及时发现异常行为。４、2、５、

a)

应提高所有用户得防病毒意识,告知及时升级防病毒软件,在读取移动存储设备上得数据以及从网络上接收文件或邮件之前,先进行病毒检查,对外来计算机或存储设备接入网络系统之前也,直进行病毒检查;

ｂ)

应指定专人对网络和主机进行恶意代码检测并保存检测记录;

c)

应对防恶意代码软件得授权使用、恶意代码库升级、定期汇报等作出明确规定。4、2、

应使用符合国家密码管理规定得密码技术和产品。4、2、

a)

应确认网络中要发生得重要变更,并制定相应得变更方案;

b)

网络发生重要变更前,应向主管领导申请,审批后方可实施变更,并在实施后向相关人员通告。4、2、

ａ)

应识别需要定期备份得重要业务信息、系统数据及软件系统等;

b)

应规定备份信息得备份方式(如增量备份或全备份等)、备份频度(如每日或每周等)、存储介质、保存期等;

c)

应根据数据得重要性和数据对系统运行得影响,制定数据得备份策略和恢复策略,备份策略应指明各份数据得放置场所、文件命名规则、介质替换频率和将数据离站运输得方法。4、2、

a)

应报告所发现得安全弱点和可疑事件,但任何情况下用户均不应尝试验证弱点;

b)

应制定安全事件报告和处置管理制度,明确安全事件类型,规定安全事件得现场处理、事件报告和后期恢复得管理职责;

c)

应根据安全事件对本网络产生得影响,对本网络安全事件进行等级划分;

d)

应记录并保存所有报告得安全弱点和可疑事件,分析事件原因,监督事态发展,采取措施避免安全事件发生。4、2、

a)

应在统一得应急预案框架下制定不同事件得应急预案,应急预案框架应包括启动应急预案得条件、应急处理流程、系统恢复流程、事后教育和培训等内容;

b)

应对相关得人员进行应急预案培训,应急预案得培训应至少每年举办一次。４、３

第3、1级要求4、34、3、

除满足４、２、１、１得要求之外,还应满足:

a)

应对安全管理活动中得各类管理内窖建立安全管理制度,以规范安全管理活动;

b)

应形成由安全策略、管理制度、操作规程等构成得全面得安全管理制度体系。4、3、

除满足4、２、１、2得要求之外,还应满足

a)

安全管理制度应有统一得格式,并进行版本控制;

b)

安全管理制度应通过正式、有效得方式发布;

ｃ)

安全管理制度应注明发布范围,并对收发文进行登记、4、3、１

除满足４、２、1、3得要求之外,还应满足

a)

安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系得合理性和适用性进行审定;

b)

应定期或不定期对安全管理制度进行检查和审定。4、34、３、２、１

除满足4、２、2、1得要求之外

ａ)

应设立安全管理工作得职能部门;

b)

应成立指导和管理安全工作得委员会或领导小组,其最高领导应由单位主管领导委任或授权;

ｃ)

应制定文件明确安全管理机构各个部门和岗位得职责、分工和技能要求、4、3、

除满足4、２、2、2得要求之外,

a)

应配备专职安全管理员,不可兼任;

b)

关键事务岗位应配备多人共同管理。4、3、

除满足4、2、2

a)

应根据各个部门和岗位得职责明确授权审批事项;

b)

应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度;

ｃ)

应定期审查审批事项,及时更新需授权和审批得项目、审批部门和审批人等信息;

ｄ)

应记录审批过程并保存审批文档。4、3、

除满足4、2、２、4

a)

各类管理人员之间、组织内部机构之间以及网络安全职能部门内部定期或不定期召开协调会议,共同协作处理网络安全问题;

ｂ)

应建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息;

c)

应聘请网络安全专家作为常年得安全顾问,指导网络安全建设,参与安全规划和安全评审等。4、３、2、５

除满足4、2、２、5得要求之外

ａ)

应由内部人员或上级单位定期进行全面安全检查,检查内容包括现有安全技术措施得有效性、安全配置与安全策略得一致性、安全管理制度得执行情况等;

ｂ)

应制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报;

c)

应制定安全审核和安全检查制度规范安全审核和安全检查工作,定期按照程序进行安全审核和安全检查活动。4、34、3、

除满足4、2、３、1

a)

应严格规范人员录用过程,对被录用人得资质等进行审查;

b)

应签署保密协议;

c)

应从内部人员中选拔从事关键岗位得人员,并签署岗位安全协议。4、3、

除满足４、2、3、2

关键岗位人员离岗须承诺调离后得保密义务后方可离开。４、3、3

除满足4、2、3、3

a)

应对关键岗位得人员进行全面、严格得安全审查和技能考核;

ｂ)

应对考核结果进行记录并保存。4、3、３

除满足４、2、3、４得要求之外

ａ)

应对安全责任和惩戒措施进行书面规定;

b)

应对定期安全教育和培训进行书面规定,针对不同岗位制定不同得培训计划;

c)

应对安全教育和培训得情况和结果进行记录并归档保存。４、３、3、５

除满足4、２、３、5得要求之外,还应满足

a)

应确保在外部人员访问受控区域前先提出书面申请;

b)

对外部人员允许访问得区域、网络、设备、信息等内容应进行书面得规定,并按照规定执行。4、34、3、

除满足4、2、4,1

a)

应组织相关部门和有关安全技术专家对网络定级结果得合理性和正确性进行论证和审定;

ｂ)

应将网络得定级结果分级上报至全国或地区得主管部门,主管部门对定级结果审批。4、3、

除满足4、２、4、2得要求之外,

a)

应指定和授权专门得部门对网络得安全建设进行总体规划,制定近期和远期得安全建设工作计划;

b)

应根据网络得等级划分情况,统一考虑安全保障体系得总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案,并形成配套文件;

c)

应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理镶略、总体建设规划、详细设计方案等相关配套文件得合理性和正确性进行论证和审定,并且经过批准后,才能正式实施;

d)

应根据等级测评、安全评估得结果定期调整和惨订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件。4、3、

除满足4、2、4、3

应预先对产品进行选型测试,确定产品得候选范围,并定期审定和更新候选产品名单。4、３、４、４

除满足4、２、４、４得要求之外,还应满足

a)

应确保开发人员和测试人员分离,测试数据和测试结果受到控制;

b)

应制定代码编写安全规范,要求开发人员参照规范编写代码;

c)

应确保对程序资源库得修改、更新、发布进行授权和批准。4、3、

与4、２、４、3、4

除满足4、2、４、6得要求之外

a)要求工程实施单位能正确地执行安全工程过程;

b)应制定工程实施方面得管理制度,明确说明实施过程得控制方法和人员行为准则。４、3、4

除满足4、２、4、7得要求之外,

ａ)

应委托公正得第三方测试单位对网络进行安全性测试,并出具安全性测试报告;

b)

应对系统测试验收得控制方法和人员行为准则进行书面规定;

c)

应指定或授权专门韵部门负责系统测试验收得管理,并按照管理规定得要求完成系统测试验收工作。4、3、

除满足４、2、４、8得要求之外,

a)

应对网络交付得控制方法和人员行为准则进行书面规定;

b)

应指定或授权专门得部门负责网络交付得管理工作,并按照管理规定得要求完成交付工作;

ｃ)在网络正式投入使用前,应根据实际情况进行试运行,试运行期间应提供相关应急预防措施;

d)

在网络正式投入使用后,应对开发、建设过程中涉及安全要求得配置、口令等内容重新修改、设定。4、3、4

与4、2、４４、３、４、10

备案

除满足4、2、４、10得要求之外

应将网络得安全等级、属性、定级得理由等资料分级上报至全国或地区得主管部门备案。4、3、

a)

在网络运行过程中,应至少每年对网络进行一次等级测评,发现不符合相应等级保护标准要求得及时整改;

b)

应在网络发生变更时及时对网络进行等级测评,发现级别发生变化得及时调整级别并进行安全改造,发现不符合相应等级保护标准要求得及时整改;

c)

应选择具有国家相关技术资质和安全资质得测评单位进行等级测评;

d)

应指定或授权专门得部门或人员负责等级测评得管理。４、3、５4、3、

除满足4、２、５、1得要求之外,还应满足

ａ)

应有指定得部门负责机房安全,并配置电子门禁系统,对机房来访人员实行登记记录和电子记录双重备案管理。

b)工作人员离开座位应确保终端计算机退出登录状态和桌面上没有包含敏感信息得纸档文件。

4、3、

除满足４、2、5、2得要求之外

a)

应根据资产得重要程度对资产进行标识管理,根据资产得价值选择相应得管理措施;

ｂ)

应对信息分类与标识方法作出规定,并对信息得使用、传输和存储等进行规范化管理。4、3、

除满足４、2,５、3得要求之外,还应满足:

ａ)

应建立介质安全管理制度,对介质得存放环境、使用、维护和销毁等方面作出规定:

ｂ)

应对介质得物理传输过程中人员选择、打包、交付等情况进行控制;

c)

应对存储介质得使用过程进行严格得管理,对带出工作环境得存储介质进行内容加密和监控管理,对保密性较高得存储介质未经批准不得自行销毁;

d)

应根据数据备份得需要对某些介质实行异地存储,存储地得环境要求和管理方法应与本地相同;

c)

应对重要介质中得数据和软件采取加密存储。４、３、5、4

除满足4、2、5、4

应建立配套设施、软硬件维护方面得管理制度,对其维护进行有效得管理,包括明确维护人员得责任、涉外维修和服务得审批、维修过程得监督控制等。4、３、5、

a)

应对通信线路、主机、网络设备和应用软件得运行状况、网络流量、用户行为等进行监测和报警,形成记录并妥善保存;

b)

应组织相关人员定期对监测和报警记录进行分析、评审,发现可疑行为,形成分析报告,并采取必要得应对措施;

ｃ)

应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。4、３、５、６

除满足4、２、５、5得要求之外,还应满足

a)

应实现设备得最小服务配置,并对配置文件进行定期离线备份;

b)

应依据安全策略允许或者拒绝便携式和移动式设备得网络接入:

ｃ)

应定期检查违反规定拨号上阚或其她违反网络安全策略得行为。4、３、5、７

除满足4、2、５